ANSSI

Actualités, Articles, Contentieux informatique, Internet conseil, Pénal numérique, Publication

Traitement pour le suivi des signalements de vulnérabilités

/

L’arrêté du 18 juin 2024 prévoit la création d’un traitement automatisé de données à caractère personnel dénommé « Suivi des signalements de vulnérabilités par des éditeurs de logiciel ». Ce traitement est placé sous la responsabilité du directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Cet arrêté fait suite à l’adoption de la loi n°2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense qui impose aux éditeurs de logiciels de notifier les vulnérabilités et incidents significatifs à l’ANSSI. Lire la suite Finalités du traitement pour le suivi des signalements de vulnérabilités Traitement pour le suivi des signalements de vulnérabilités Ce traitement a pour objet la collecte et le traitement des données transmises par les éditeurs de logiciels, conformément à l’article L.2321-4-1 du code de la défense, aux fins de : « Suivre et gérer les notifications de vulnérabilités significatives affectant un de leurs produits ou les notifications d’incident informatique compromettant la sécurité de leurs systèmes d’information et susceptible d’affecter significativement un de leurs produits ; En cas d’inaction de l’éditeur, à la suite d’une mise en demeure de l’Agence nationale de la sécurité des systèmes d’information, informer les utilisateurs de ce produit ou rendre publics la vulnérabilité ou l’incident ainsi que l’injonction adressée à l’éditeur de logiciel. » (arrêté du 18-06-2024, art.1). Données personnelles collectées Traitement pour le suivi des signalements de vulnérabilités Le traitement pour le suivi des signalements de vulnérabilités collecte des données à caractère personnel relatives à l’identification de l’éditeur de logiciel, à la vulnérabilité ou à l’incident significatif et aux utilisateurs du produit affecté. Ces données sont conservées pendant une durée de trois ans à compter de la clôture du traitement de la vulnérabilité ou de l’incident. Accès et destinataires des données collectées Traitement pour le suivi des signalements de vulnérabilités Dans le cadre des nouvelles prérogatives de l’ANSSI, les agents de l’ANSSI sont autorisés à accéder aux données mentionnées ci-dessus afin de pouvoir procéder à l’information des utilisateurs d’un produit affecté. En cas d’inaction de l’éditeur à la suite d’une mise en demeure de l’ANSSI, cette dernière a la possibilité de procéder à l’information des utilisateurs. Dans ce cas, les utilisateurs du produit affecté peuvent être destinataires des informations suivantes : • « Raison sociale et adresse postale de l’éditeur de logiciel concerné » ; • « Nom, prénom du dirigeant de l’éditeur de logiciel concerné ». L’ANSSI responsable du suivi des signalements de vulnérabilités Traitement pour le suivi des signalements de vulnérabilités En centralisant et en gérant les signalements de vulnérabilités de manière proactive, l’ANSSI assure non seulement la protection des utilisateurs finaux mais encourage également une plus grande responsabilité de la part des éditeurs de logiciels. Ce dispositif, qui s’inscrit dans le cadre des dispositions de la loi de programmation militaire, vise à établir un environnement numérique plus sûr et à renforcer la confiance des utilisateurs dans les produits logiciels qu’ils utilisent au quotidien. Avec la collaboration de Manon Juby, stagiaire, étudiante en Master Droit des espaces et des activités maritimes. Created by potrace 1.16, written by Peter Selinger 2001-2019 Pour en apprendre davantage Jennifer Knight Avocate, Responsable d’activité au sein du Pôle Informatique et Droit     Jennifer Knight Avocate, Responsable d’activité au sein du Pôle Informatique et Droit Avocate à la Cour d’appel de Paris, Jennifer Knight est Responsable d’activité au sein du Pôle Informatique et Droit, elle intervient dans les domaines du conseil et du contentieux, principalement en droit de l’informatique et des contrats, ainsi que dans les domaines associés (propriété intellectuelle, données à caractère personnel, droit commercial et de la distribution, marchés publics). Phone:+33 (0)6 31 95 92 37 Email:jennifer-knight@lexing.law     Raphaël Liotier Avocat, Directeur d’activité au sein du pôle Contentieux numérique     Raphaël Liotier Avocat, Directeur d’activité au sein du pôle Contentieux numérique Avocat à la Cour d’appel de Paris, Raphaël Liotier est Directeur d’activité Pénal numérique au sein du pôle Contentieux numérique. Il intervient principalement devant les juridictions pénales et civiles dans le cadre de contentieux en droit pénal du numérique et en droit de la presse. Raphaël Liotier assiste les clients du cabinet, qu’ils soient mis en cause ou victimes, à tous les stades de la procédure pénale. Il intervient dans le cadre de procédures d’enquêtes. Phone:+33 (0)6 21 56 37 05 Email:raphael-liotier@lexing.law     ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations juridiques entre 20 et 80% de la version finale… Lire plus

Actualités, Articles, Pénal numérique, Presse et communication numérique, Publication

Vulnérabilités et incidents significatifs : les éditeurs tenus de les signaler

/

La loi n°2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 contient des dispositions relatives à la responsabilité des éditeurs de logiciels en cas de vulnérabilité significative affectant un de leurs produits ou en cas d’incident informatique compromettant la sécurité de leurs systèmes d’information et susceptible d’affecter un de leurs produis, dont une obligation de notification des vulnérabilités et incidents significatifs à l’ANSSI (1). L’article 66 de cette loi introduit ainsi un nouvel article L.2321-4-1 dans le Code de la défense au sein du chapitre 1er « Responsabilités » du titre III « Sécurité des systèmes d’information ». L’obligation de notification concerne tous les éditeurs de logiciels qui fournissent ce produit : sur le territoire français ; à des sociétés ayant leur siège social sur le territoire français ; ou à des sociétés contrôlées, au sens de l’article L.233-3 du Code de commerce, par des sociétés ayant leur siège social sur le territoire français. Aux termes de l’article L.2321-4-1, un éditeur de logiciel est « toute personne physique ou morale qui conçoit ou développe un produit logiciel ou fait concevoir ou développer un produit logiciel et qui le met à la disposition d’utilisateurs, à titre onéreux ou gratuit ». Un décret du 10 mai 2024 définissant les modalités d’application de cet article est entré en vigueur le 1er juin 2024. Lire la suite L’obligation de notification des vulnérabilités et incidents significatifs à l’ANSSI Vulnérabilités et incidents significatifs : les éditeurs tenus de les signaler La loi de programmation militaire prévoit l’obligation pour les éditeurs de logiciels de notifier à l’ANSSI les vulnérabilités significatives affectant un de leurs produits et les incidents informatiques qui compromettent la sécurité de leurs systèmes d’information et qui sont susceptibles d’affecter significativement un de leurs produits. L’analyse des causes de la vulnérabilité ou de l’incident ainsi que de ses conséquences doit également lui être notifié. En vertu de l’article L.2321-4-1 du Code de la défense, un incident informatique est « Tout évènement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement ou des services que les réseaux et les systèmes d’information offrent ou rendent accessibles ». Les critères d’appréciation du caractère significatif Vulnérabilités et incidents significatifs : les éditeurs tenus de les signaler Il incombe à l’éditeur d’apprécier le caractère significatif de la vulnérabilité et de l’incident dès qu’il en a connaissance. Si la vulnérabilité ou l’incident lui a été notifié par l’ANSSI, l’éditeur dispose d’un délai qui ne peut pas être inférieur à 48h pour apprécier le caractère significatif. Le nouvel article R.2321-1-16, I, du Code de la défense prévoit une liste de critères d’appréciation : le nombre d’utilisateurs concernés par la vulnérabilité ou l’incident affectant le produit ; le nombre de produits intégrant le produit affecté ; l’impact technique, potentiel ou actuel, de la vulnérabilité ou de l’incident sur le fonctionnement attendu du produit. Selon les fonctionnalités du produit, cet impact est évalué au regard de critères de sécurité tels que la disponibilité, l’intégrité, la confidentialité ou la traçabilité ; le type de produit au regard de ses usages et de l’environnement dans lequel il est déployé ; l’exploitation imminente ou avérée de la vulnérabilité ; l’existence d’une preuve technique d’exploitabilité ou d’un code d’exploitation. Cette liste n’est en aucun cas exhaustive. Si, après analyse, l’éditeur détermine que la vulnérabilité ou l’incident en cause revêt un caractère significatif, alors il doit le notifier à l’ANSSI. La notification doit comporter les informations utiles à la compréhension de la vulnérabilité ou de l’incident en cause (C. défense, nouvel art. R.2321-1-16, II). D’un point de vue pratique, l’éditeur de logiciel doit compléter un formulaire de déclaration mis à disposition sur le site internet de l’ANSSI et adresser à cette dernière toute information complémentaire au fur et à mesure de son analyse ou en réponse aux demandes d’informations supplémentaires de l’ANSSI (C. défense, nouvel art. R.2321-1-16, III). L’éditeur de logiciel met en œuvre, le cas échéant, les mesures utiles requises afin de sécuriser la vulnérabilité ou l’incident en cause (C. défense, nouvel art. R.2321-1-16, III). L’obligation d’information des utilisateurs du produit affecté Vulnérabilités et incidents significatifs : les éditeurs tenus de les signaler L’article L.2321-4-1 du Code de la défense prévoit également une obligation d’information des utilisateurs des vulnérabilités et incidents significatifs. Le délai pour informer les utilisateurs est déterminé par l’ANSSI, après analyse conjointe de la vulnérabilité ou de l’incident avec l’éditeur, et tient compte de l’urgence, des risques pour la défense et la sécurité nationale et du temps nécessaire aux éditeurs pour prendre les mesures correctives. L’ANSSI notifie à l’éditeur le délai dans lequel il doit informer ses utilisateurs, ce délai ne pouvant, être inférieur à 10 jours ouvrables, sauf en cas de risque pour la défense et la sécurité nationale requérant une information des utilisateurs sans délai (C. défense, nouvel art. R.2321-1-17, I). L’information des utilisateurs du produit affecté est faite par un message d’information comprenant, le cas échéant, toute recommandation que ces derniers peuvent appliquer. L’éditeur doit rendre compte à l’ANSSI de l’envoi de ce message et donc du respect de son obligation d’information (C. défense, nouvel art. R.2321-1-17, II). Les pouvoirs de l’ANSSI en cas de non-respect de l’obligation d’information des utilisateurs Vulnérabilités et incidents significatifs : les éditeurs tenus de les signaler En cas de non-respect par l’éditeur de logiciel de l’obligation d’information, l’ANSSI peut l’enjoindre de procéder à cette information (C. défense, art. L.2321-4-1, al. 5). L’injonction doit (C. défense, nouvel art. R.2321-1-18) : • être motivée ; • préciser le délai imparti aux éditeurs de logiciels, qui ne peut être inférieur à 10 jours, ainsi que les mesures requises pour s’y conformer ; • être notifiée à l’éditeur par lettre recommandée avec avis de réception ; • informer l’éditeur que l’ANSSI peut informer les utilisateurs ou rendre public la vulnérabilité ou l’incident ainsi que l’injonction si celle-ci n’a pas été mise en œuvre. L’éditeur a la faculté de présenter des observations dans le délai imparti. L’ANSSI peut également informer

cybermenace en 2023
Articles, Contentieux informatique, Publication

ANSSI : Publication du panorama de la cybermenace en 2023

/

La publication du Panorama de la cybermenace en 2023 de l’ANSSI permet de faire état des principales tendances de cybermenace en 2023. Le Panorama de la cybermenace de 2023 expose que l’espionnage informatique est la menace qui reste la plus importante. Les espions ciblent principalement les données sensibles de domaines stratégiques et industriels. Lire la suite Une diversité dans les intentions des acteurs de cybermenace ANSSI : PUBLICATION DU PANORAMA DE LA CYBERMENACE EN 2023 Parallèlement, les attaques à des fins d’extorsion ont augmenté de 30% en 2023 malgré une baisse en 2022. Cette augmentation des attaques par rançongiciel s’explique par la démocratisation d’outils accessibles même pour des acteurs limités techniquement (code source en open source). Les cybercriminels visent les entités qui sont particulièrement sensibles à des interruptions de service (santé, énergie, …). Dans le contexte géopolitique actuel, l’ANSSI a constaté une augmentation du nombre d’attaque de déstabilisation. Des activistes prorusses sont notamment à l’origine de DDoS (déni de service distribués) destinés à mettre en avant des discours politiques. Des attaques contribuent également à rendre des sites inaccessibles. Une amélioration des capacités d’attaque des cybercriminels ANSSI : PUBLICATION DU PANORAMA DE LA CYBERMENACE EN 2023 Les cybercriminels ont amélioré leur technique afin de réduire la détection et le suivi de leur activité. Ils utilisent notamment des réseaux d’anonymisation ou des moyens d’interceptions discrets (électromagnétique). Le Panorama de la cybermenace en 2023 souligne que le profil des cybercriminels se diversifie. La fuite de codes sources de rançon logiciels (notamment LockBit) permet à des acteurs moins expérimentés d’émerger.  Les cybercriminels s’appuient notamment sur des groupes privés qui distribuent des outils de vols d’information. De plus en plus, les cybercriminels visent les téléphones portables professionnels et personnels de personnes ciblées, et notamment des cadres dirigeants dans des secteurs stratégiques. De nombreuses faiblesses propices aux cyberattaques De nombreuses faiblesses propices aux cyberattaques L’ANSSI précise que même si les attaques sont parfois difficiles à prévenir, les systèmes d’information présentent souvent des faiblesses. Les cybercriminels peuvent tirer parti d’erreurs de configuration, de correctif tardif ou d’absence de mécanisme de chiffrement. L’ANSSI souligne les risques cyber lors de grands évènements comme les Jeux Olympiques et paralympiques de Paris 2024 (JOP2024). Le gouvernement a confié le pilotage de la stratégie de prévention des cyberattaques pour les JOP à l’ANSSI. Elle pourra ainsi effectuer des audits ou assurer un accompagnement technique pour les entités impliquées dans l’organisation. Note :Panorama de la cybermenace en 2023 de l’ANSSI. Avec la collaboration de Célia Prot, stagiaire, étudiante en Master 2 Droit européen du marché et de la régulation à l’Université Paris Panthéon Assas. Created by potrace 1.16, written by Peter Selinger 2001-2019 Virginie Bensoussan-Brulé Avocat, Directeur du pôle Contentieux numérique Virginie Bensoussan-Brulé Avocat, Directeur du pôle Contentieux numérique Avocate à la Cour d’appel de Paris, Virginie Bensoussan-Brulé est titulaire du certificat de spécialisation en droit pénal, avec la qualification spécifique droit de la presse. Elle dirige le pôle Contentieux numérique et intervient dans les domaines du conseil et du contentieux en droit de la presse, en droit pénal du numérique et de l’informatique et en contentieux de l’Internet. Virginie Bensoussan-Brulé est nommée « Best Lawyer » dans la catégorie « Privacy and Data Security Law » en 2024 ainsi qu’en 2023. Phone:+33 (0)6 42 31 85 29 Email:virginie-bensoussan-brule@lexing.law Raphaël Liotier Avocat, directeur d’activité pénal numérique Raphaël Liotier Avocat, directeur d’activité pénal numérique Avocat à la Cour d’appel de Paris, Raphaël Liotier est Directeur d’activité Pénal numérique au sein du pôle Contentieux numérique. Il intervient principalement devant les juridictions pénales et civiles dans le cadre de contentieux en droit pénal du numérique et en droit de la presse. Raphaël Liotier assiste les clients du cabinet, qu’ils soient mis en cause ou victimes, à tous les stades de la procédure pénale. Il intervient dans le cadre de procédures d’enquêtes. Phone:+33 (0)6 21 56 37 05 Email:raphael-liotier@lexing.law Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La Cobotique Juridique : ChatGPT & Droit Les intelligences artificielles génératives telles que ChatGPT constituent une révolution pour les professionnels du droit… Lire plus

Noms de domaine cyberattaque
Articles, Marques et noms de domaine, Noms de domaine, Publication

Noms de domaine liés à des cyberattaques : nouveaux pouvoirs de blocage de l’ANSSI

/

L’ANSSI va pouvoir s’attaquer au fléau des noms de domaine liés à des cyberattaques. Ce phénomène touche par son ampleur : collectivités locales, établissements publics, entreprises ou encore simples particuliers. Plus une semaine ne se passe sans que des cyberattaques d’ampleur ne fassent les titres de l’actualité.

Retour en haut